Confiança de Domínio 2008 a 2003

5

Estou com problemas para configurar a relação de confiança entre um Windows Server 2003 e um Windows Server 2008 AD.

O domínio a é o nível funcional da floresta do Windows Server 2003.

O domínio b é um nível funcional da Floresta do Windows Server 2008.

Eu posso configurar o lado de entrada do relacionamento de confiança no domínio "a" para que ele confie no domínio "b".

Por mais que eu tente no domínio "b", não consigo configurar o lado de saída da relação de confiança para o domínio "a".

A interface GUI não ajuda “A solicitação não é suportada”.

Não tenho certeza se netdom está sendo mais ou menos útil, já que isso me remete a FilterSIDs

netdom trust /add b /uo:b\admin /po:* /d:a /ud:a\admin /pd:* /oneside:trusting
To improve the security of this external trust, security identifier (SID)
filtering is enabled, however, if users have been migrated to the trusted
domain and their SID histories have been preserved, you may choose to turn off this
feature.

For more information about SID filtering and how to turn it off, see the help
for netdom trust /FilterSids or see Help and Support.

The request is not supported.

The command failed to complete succesfully.

Eu digo "menos útil" porque o Windows Server 2008 não suporta a opção / FilterSIDs.

Como podemos forçar a criação dessa confiança?

Editar: Só para esclarecer, verifiquei que o [Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Opções de Segurança] "Acesso à rede: permitir tradução anônima de SID / nome" está habilitado em ambos os lados da relação de confiança, conforme link

    
por nick3216 29.11.2010 / 18:14

1 resposta

2

I can set up the incoming side of the trust relationship on domain "a" so that it trusts domain "b".

Isso é estranho. Porque, se a confiança estiver chegando no domínio a, significa que é o domínio confiável. ie: b confia a.

Tente definir primeiro a parte de saída da confiança.

Seu comando tenta criar a parte de saída (confiante) da confiança somente no domínio b. Eu acho que você precisa definir uma senha de confiança neste caso. Vejo: link

TRUSTING: Specifies to create or remove the trust object on the trusting domain. This value is valid only if you specify the /add or /remove parameter. The /passwordt parameter is required when you use the /add or /remove parameter.

Por que você usa / oneside? Por que não deixar o netdom criar os dois lados da confiança de uma só vez?

E verifique se você não tem DCs com os mesmos nomes nos dois domínios ou se a verificação da confiança falhará.

    
por 30.11.2010 / 02:26